Разное

Малвари: Что такое Malware (малварь) и как с этим бороться? SkyDNS

06.08.2003

Содержание

О нас | Malwarebytes

История нашей компании

В 2004 году Марцин Клежинский обнаружил на своем компьютере весьма устойчивую угрозу, проникшую из Интернета во время поиска видеоигр. Особенно досадным было то, что в системе был установлен популярный в то время платный антивирус.

Этим компьютером пользовалась вся семья, поэтому, узнав о случившемся, родители заявили: «Ты должен исправить все сам». «Без проблем», – ответил Марцин. Дело было в Чикаго. После школы Марцин подрабатывал в местном сервисном центре по ремонту компьютеров. И сколько времени ушло на то, чтобы удалить из системы небольшой отрезок вредоносного кода?

Целых три дня.

«И сколько времени ушло на то, чтобы удалить из системы небольшой отрезок вредоносного кода?»

Три дня поисков в Интернете, три дня обсуждений с пользователями, столкнувшимися с аналогичной проблемой, три дня изучения форумов по компьютерной безопасности, например spywareinfoforum.

com. Как известно, в споре рождается истина, и в данном случае она представляла собой два вывода:

  1. В сети «обитает» огромное количество новых вредоносных программ.
  2. Обычный антивирус всякий раз оказывался бессильным перед подобными угрозами.

Поэтому Марцин задался целью создать лучшее средство борьбы с вредоносным ПО. Он начал изучать программный код, и в итоге ему удалось написать небольшую, но весьма эффективную утилиту для борьбы с вредоносным ПО. Программа получила название Rogue Remover и вскоре стала популярной среди пользователей и специалистов по компьютерной безопасности.

Благодаря этой работе Марцин также нашел единомышленников, страстно преданных идее борьбы с вредоносным ПО. Они самоотверженно боролись с вредоносным кодом, обменивались ценной информацией и помогали пользователям, которые в отчаянии приходили на форумы в поисках ответов. Марцин и его коллеги часто предлагали нестандартные решения, способные нейтрализовать новые угрозы, с которыми был не в силах справиться обычный антивирус. Причем они работали бескорыстно и тратили на это собственное время и деньги.

«Марцин нашел единомышленников, страстно преданных идее борьбы с вредоносным ПО»

Компьютерные угрозы эволюционировали, и сегодня они представляют собой нечто большее, чем просто вирусы. Криптоджекеры превращают браузер в средство для майнинга криптовалют, программы-вымогатели блокируют файлы с важными данными, парализуют работу целых предприятий и угрожают инфраструктуре стран во всем мире. Вредоносный код удивляет своим полиморфизмом: он постоянно меняет форму, стремясь остаться незамеченным для обычных антивирусов, которые работают на основе старой сигнатурной технологии.

Поэтому теперь, чтобы победить хакера, нужно действовать как хакер.

Именно благодаря хакерскому способу мышления компания Malwarebytes стала одним из самых надежных брендов в области кибербезопасности. Наша команда насчитывает более 600 специалистов – «охотников» за вредоносным ПО, разработчиков программных средств, ветеранов компьютерной безопасности. Нам принадлежит шесть патентов, отражающих инновационные разработки компании Malwarebytes. А эффективность наших продуктов подтверждается неопровержимыми результатами – миллионы пользователей и компаний по всему миру полагаются на программный код Malwarebytes и доверяют нам защиту своей самой ценой информации.

Помимо технических идей, нашу команду объединяет одно простое убеждение: Вы, как и любой другой пользователь, имеете право спокойно работать, не подвергаясь опасности со стороны вредоносного ПО.

Malwarebytes – это Ваша первая линия обороны от вредоносного ПО и хакеров.

Приключения неуловимой малвари, часть I

Этой статьей мы начинаем серию публикаций о неуловимых малвари. Программы для взлома, не оставляющие следов атаки, известные также как fileless («бестелесные», невидимые, безфайловые), как правило, используют PowerShell на системах Windows, чтобы скрытно выполнять команды для поиска и извлечения ценного контента. Обнаружить хакерскую деятельность без вредоносных файлов — сложно выполнимая задача, т.к. антивирусы и многие другие системы обнаружения работают на основе сигнатурного анализа. Но хорошая новость состоит в том, что такое ПО все же существует. Например, UBA-системы, способные обнаружить вредоносную активность в файловых системах.


Когда я впервые начал изучать тему крутых хакеров, не использующих традиционные способы заражения, а лишь доступные на компьютере жертвы инструменты и программное обеспечение, я и не подозревал, что вскоре это станет популярным способом атаки. Профессионалы в области безопасности говорят, что это становится трендом, а пугающие заголовки статей – тому подтверждение. Поэтому я решил сделать серию публикаций на эту тему.

Великий и ужасный PowerShell

Я писал о некоторых из этих идей раньше в серии обфускации PowerShell, но больше исходя из теоретического представления. Позже я наткнулся на сайт для гибридного анализа, где можно найти образцы малвари, «отловленной» в дикой природе. Я решил попробовать использовать этот сайт для поиска образцов fileless-вредоносов. И мне это удалось. Кстати, если вы захотите отправиться в свою собственную экспедицию по поиску вредоносных программ, вам придется пройти проверку на этом сайте, чтобы они знали, что вы делаете работу как white hat специалист. Как блогер, который пишет о безопасности, я прошел ее без вопросов. Я уверен, вы тоже сможете.

Помимо самих образцов на сайте можно увидеть, что же делают эти программы. Гибридный анализ запускает вредоносное ПО в собственной песочнице и отслеживает системные вызовы, запущенные процессы и действия в сети, а также извлекает подозрительные текстовые строки. Для двоичных файлов и других исполняемых файлов, т.е. там, где вы даже не можете посмотреть на фактический код высокого уровня, гибридный анализ решает, является ли ПО вредоносным или просто подозрительным на основе его активности во время выполнения. И после этого уже оценивается образец.

В случае с PowerShell и другими образцами сценариев (Visual Basic, JavaScript и т. д.), я смог увидеть и сам код. Например, я наткнулся на такой PowerShell экземпляр:

Вы также можете запустить PowerShell в кодировке base64, чтобы избежать обнаружения. Обратите внимание на использование Noninteractive и Hidden параметров.

Если вы прочитали мои записи по обфускации, то вы знаете, что параметр -e указывает на то, что содержимое кодируется в base64. Кстати, гибридный анализ помогает также и с этим, декодируя все обратно. Еcли вы захотите попробовать декодировать base64 PowerShell (далее – PS) самостоятельно, нужно выполнить эту команду:

 [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))

Вникай глубже

Я декодировал наш PS-сценарий с помощью этого метода, ниже представлен текст программы, правда слегка мной модифицированный:

Заметьте, что скрип был привязан к дате 4 сентября 2017 и передавал сессионные cookies.

Я писал об этом стиле атаки в серии по обфускации PS, в которой кодированный в base64 скрипт сам загружает

недостающие вредоносные программы с другого сайта, задействуя из библиотеки .Net Framework объект WebClient, чтобы сделать всю тяжелую работу.

Для чего это нужно?

Для программного обеспечения безопасности, сканирующего журналы событий Windows или файерволла, кодировка base64 предотвращает обнаружение строки «WebClient» по простому текстовому шаблону в целях защиты от выполнения такого веб-запроса. И так как все «зло» вредоносного ПО затем загружается и передается в наш PowerShell, этот подход таким образом позволяет полностью уклоняться от обнаружения. Вернее, это я так думал сначала.

Оказывается, с включением продвинутого логирования журнала Windows PowerShell (см. мою статью ) вы сможете увидеть загруженную строку в журнале событий. Я (как и другие ) считаю, что Microsoft следует включить данный уровень ведения журнала по умолчанию. Поэтому при включенном расширенном логировании мы увидим в журнале событий Windows выполненный запрос загрузки из PS скрипта по примеру, который мы разобрали выше. Поэтому имеет смысл его активировать, согласны?

Добавим дополнительные сценарии

Хакеры ловко скрывают атаку PowerShell в макросах Microsoft Office, написанных на Visual Basic и на других скриптовых языках. Идея заключается в том, что жертва получает сообщение, например, от службы доставки, с вложенным отчетом в формате .doc. Вы открываете этот документ, который содержит макрос, и в конечном итоге он сам запускает вредоносный PowerShell.

Часто сам сценарий Visual Basic обфусцируется так, что он свободно уклоняется от антивирусов и других сканеров вредоносных программ. В духе уже изложенного, я решил в качестве упражнения закодировать приведенный выше PowerShell в JavaScript. Ниже результаты моей работы:

Обфусцированный JavaScript, прячущий наш PowerShell. Реальные хакеры делают это на раз-два.

Это еще одна из техник, которую я встретил на просторах сети: использование оболочки Wscript.Shell для запуска кодированного PowerShell. Кстати, JavaScript сам по себе является средством доставки вредоносных программ. Многие версии Windows имеют встроенный Windows Script Host, который сам умеет запускать JS.

В нашем случае, вредоносный скрипт JS вложен как файл c .doc.js расширением. Windows, как правило, показывает только первый суффикс, поэтому он будет отображаться жертве как документ Word.

Значок JS отображается только в иконке в виде свитка. Неудивительно, что многие люди будут открывать это вложение, думая, что это Word-документ.

В моем примере я изменил приведенный выше PowerShell, чтобы загрузить сценарий с моего веб-сайта. Удаленный сценарий PS просто печатает «Evil Malware». Как видите, он совсем не злой. Конечно, реальные хакеры заинтересованы в получении доступа к ноутбуку или серверу, скажем, через командую оболочку. В следующей статье я покажу, как это сделать, используя PowerShell Empire.

Надеюсь, что для первой ознакомительной статьи мы не слишком глубоко погрузились в тему. Теперь я позволю вам перевести дух, и в следующий раз мы начнем разбирать реальные примеры атак с использованием fileless-малвари без лишних вводных слов и подготовки.

Источник: habr.com

[update от 07.04 — часть 3] Оригинальный список малвари, шифровальщиков и прочего в open source проектах

Я — Дмитрий Симонов, основатель Техдирского Клуба, опубликовавшего и поддерживающего оригинальный список проблем, связанных с политизированным Open Source.

UPDATE от 07 апреля 2022 г. Что приехало в этом обновлении из совсем уж треша:

  • Draw-io for Confluence https://github.com/jgraph/drawio/commit/6a5dd8d3715f6aba50f48041cdc699cbd9af91cf#diff-c6f752c951f4e1c585c6e8cab1ffbc98d580eb9263352ce151597273a64e2435
    В комьюнити Atlassian сообщили, что draw-io на сервере Confluence удаляет контент и в инфо показывает «Нет войне». На маркетплейсе Atlassian указано, что в версии 17.1.4 был некий security fix, исправляющий ошибку в 17.1.3 (без деталей). Проблем с версией 17.1.4 нет, по 17.1.5 пока нет подтверждений.

    Лозунги убрали: https://github.com/jgraph/drawio/compare/v17.1.5…v17.2.2
    Исследуем убрали ли стирание данных

  • GitLab с марта 2022 перестали продлевать и выдавать квоты на новые лицензии

  • Про то, что ClickHouse отрёкся от России и с нами его ничего не связывает уже и так все знают. Пока только политические лозунги на главной, блоге и перекрасили шапку в цвета украинского флага.

Полный список посмотреть можно по ссылке >>>

Дисклеймер:

  • Cписок формируется на основании присланных заявок. На основании этих же присланных заявок удаляются ошибочно внесённые записи. Каждая заявка внимательно рассматривается и переносится в опубликованный список.

  • Ни список, ни Техдирский Клуб, ни я лично никаким образом не вносим политическую окраску в происходящее — мы сознательно фокусируемся исключительно на профессиональной деятельности технических управленцев. Всем желающим пообщаться на политические и околополитические темы предлагаю найти один из миллионов чатиков, которыми сейчас кишит интернет во всех социалках. В техдирском Клубе за любые околополитические темы банят.

Если хотите внести (или опровергнуть) информацию в список, это можно сделать через специальную форму.

Приключения неуловимой малвари, часть 1

Этой статьей мы начинаем серию публикаций о неуловимых малвари. Программы для взлома, не оставляющие следов атаки, известные также как fileless («бестелесные», невидимые, безфайловые), как правило, используют PowerShell на системах Windows, чтобы скрытно выполнять команды для поиска и извлечения ценного контента. Обнаружить хакерскую деятельность без вредоносных файлов — сложно выполнимая задача, т.к. антивирусы и многие другие системы обнаружения работают на основе сигнатурного анализа. Но хорошая новость состоит в том, что такое ПО все же существует. Например, UBA-системы, способные обнаружить вредоносную активность в файловых системах.

Когда я впервые начал изучать тему крутых хакеров, не использующих традиционные способы заражения, а лишь доступные на компьютере жертвы инструменты и программное обеспечение, я и не подозревал, что вскоре это станет популярным способом атаки. Профессионалы в области безопасности говорят, что это становится трендом, а пугающие заголовки статей – тому подтверждение. Поэтому я решил сделать серию публикаций на эту тему.

Великий и ужасный PowerShell


Я писал о некоторых из этих идей раньше в серии обфускации PowerShell, но больше исходя из теоретического представления. Позже я наткнулся на сайт для гибридного анализа, где можно найти образцы малвари, «отловленной» в дикой природе. Я решил попробовать использовать этот сайт для поиска образцов fileless-вредоносов. И мне это удалось. Кстати, если вы захотите отправиться в свою собственную экспедицию по поиску вредоносных программ, вам придется пройти проверку на этом сайте, чтобы они знали, что вы делаете работу как white hat специалист. Как блогер, который пишет о безопасности, я прошел ее без вопросов. Я уверен, вы тоже сможете.

Помимо самих образцов на сайте можно увидеть, что же делают эти программы. Гибридный анализ запускает вредоносное ПО в собственной песочнице и отслеживает системные вызовы, запущенные процессы и действия в сети, а также извлекает подозрительные текстовые строки. Для двоичных файлов и других исполняемых файлов, т.е. там, где вы даже не можете посмотреть на фактический код высокого уровня, гибридный анализ решает, является ли ПО вредоносным или просто подозрительным на основе его активности во время выполнения. И после этого уже оценивается образец.

В случае с PowerShell и другими образцами сценариев (Visual Basic, JavaScript и т. д.), я смог увидеть и сам код. Например, я наткнулся на такой PowerShell экземпляр:

Вы также можете запустить PowerShell в кодировке base64, чтобы избежать обнаружения. Обратите внимание на использование Noninteractive и Hidden параметров.


Если вы прочитали мои записи по обфускации, то вы знаете, что параметр -e указывает на то, что содержимое кодируется в base64. Кстати, гибридный анализ помогает также и с этим, декодируя все обратно. Еcли вы захотите попробовать декодировать base64 PowerShell (далее – PS) самостоятельно, нужно выполнить эту команду:
 [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))

Вникай глубже


Я декодировал наш PS-сценарий с помощью этого метода, ниже представлен текст программы, правда слегка мной модифицированный:


Заметьте, что скрип был привязан к дате 4 сентября 2017 и передавал сессионные cookies.


Я писал об этом стиле атаки в серии по обфускации PS, в которой кодированный в base64 скрипт сам загружает недостающие вредоносные программы с другого сайта, задействуя из библиотеки .Net Framework объект WebClient, чтобы сделать всю тяжелую работу.

Для чего это нужно?

Для программного обеспечения безопасности, сканирующего журналы событий Windows или файерволла, кодировка base64 предотвращает обнаружение строки «WebClient» по простому текстовому шаблону в целях защиты от выполнения такого веб-запроса. И так как все «зло» вредоносного ПО затем загружается и передается в наш PowerShell, этот подход таким образом позволяет полностью уклоняться от обнаружения. Вернее, это я так думал сначала.

Оказывается, с включением продвинутого логирования журнала Windows PowerShell (см. мою статью ) вы сможете увидеть загруженную строку в журнале событий. Я (как и другие ) считаю, что Microsoft следует включить данный уровень ведения журнала по умолчанию. Поэтому при включенном расширенном логировании мы увидим в журнале событий Windows выполненный запрос загрузки из PS скрипта по примеру, который мы разобрали выше. Поэтому имеет смысл его активировать, согласны?

Добавим дополнительные сценарии


Хакеры ловко скрывают атаку PowerShell в макросах Microsoft Office, написанных на Visual Basic и на других скриптовых языках. Идея заключается в том, что жертва получает сообщение, например, от службы доставки, с вложенным отчетом в формате .doc. Вы открываете этот документ, который содержит макрос, и в конечном итоге он сам запускает вредоносный PowerShell.

Часто сам сценарий Visual Basic обфусцируется так, что он свободно уклоняется от антивирусов и других сканеров вредоносных программ. В духе уже изложенного, я решил в качестве упражнения закодировать приведенный выше PowerShell в JavaScript. Ниже результаты моей работы:


Обфусцированный JavaScript, прячущий наш PowerShell. Реальные хакеры делают это на раз-два.


Это еще одна из техник, которую я встретил на просторах сети: использование оболочки Wscript.Shell для запуска кодированного PowerShell. Кстати, JavaScript сам по себе является средством доставки вредоносных программ. Многие версии Windows имеют встроенный Windows Script Host, который сам умеет запускать JS.
В нашем случае, вредоносный скрипт JS вложен как файл c .doc.js расширением. Windows, как правило, показывает только первый суффикс, поэтому он будет отображаться жертве как документ Word.


Значок JS отображается только в иконке в виде свитка. Неудивительно, что многие люди будут открывать это вложение, думая, что это Word-документ.


В моем примере я изменил приведенный выше PowerShell, чтобы загрузить сценарий с моего веб-сайта. Удаленный сценарий PS просто печатает «Evil Malware». Как видите, он совсем не злой. Конечно, реальные хакеры заинтересованы в получении доступа к ноутбуку или серверу, скажем, через командую оболочку. В следующей статье я покажу, как это сделать, используя PowerShell Empire.

Надеюсь, что для первой ознакомительной статьи мы не слишком глубоко погрузились в тему. Теперь я позволю вам перевести дух, и в следующий раз мы начнем разбирать реальные примеры атак с использованием fileless-малвари без лишних вводных слов и подготовки.

еще больше DDE и COM-скриплетов

Эта статья является частью серии «Fileless Malware». Все остальные части серии:


В этой серии статей мы изучаем методы атак, которые предполагают минимальные усилия со стороны хакеров. В прошлой статье мы рассмотрели, что можно вставить сам код в полезную нагрузку автоматического поля DDE в Microsoft Word. Открыв такой документ, вложенный в фишинговое письмо, неосторожный пользователь сам позволит злоумышленнику закрепиться на своем компьютере. Однако в конце 2017 года Microsoft закрыла данную лазейку для атак на DDE.
Исправление добавляет запись реестра, которая отключает функции DDE в Word. Если же вам все же нужна данная функциональность, то вы можете вернуть этот параметр, включив старые возможности DDE.

Однако оригинальный патч охватывал только Microsoft Word. Существуют ли эти DDE-уязвимости в других продуктах Microsoft Office, которые также можно было бы использовать в атаках без лишнего кода? Да, конечно. Например, вы также можете найти их в Excel.

Ночь живых DDE


Я помню, что в прошлый раз я остановился на описании скриптлетов COM. Обещаю, что еще доберусь до них в этой статье.

А пока давайте разберемся с очередной злой стороной DDE в версии для Excel. Так же, как и в Word, некоторые скрытые возможности DDE в Excel позволяют вам выполнить код без особых усилий. Как выросший на Word пользователь, я был знаком с полями, но совсем не знал о функциях в DDE.

Я был поражен, узнав, что в Excel я могу вызвать командную оболочку из ячейки, как показано ниже:


Вы знали, что так было можно? Лично я – нет

Эта возможность запустить оболочку Windows любезно предоставлена нам DDE. Можно придумать много других пр
иложений, к которым вы можете подключиться с помощью встроенных в Excel функций DDE.
Вы думаете о том же, о чем и я?

Пусть наша команда в ячейке запускает сеанс PowerShell, который затем загружает и выполняет ссылку – это прием, который мы с вами уже использовали ранее. Смотрите ниже:


Просто вставить чуть-чуть PowerShell для загрузки и выполнения удаленного кода в Excel

Но есть нюанс: вы должны явно ввести эти данные в ячейку, чтобы эта формула выполнилась в Excel. Как же хакер сможет выполнить эту команду DDE удаленно? Дело в том, что когда таблица Excel открыта, то Excel попытается обновить все ссылки в DDE. В настройках Trust Center уже давно есть возможность отключить это или предупреждать при обновлении ссылок на внешние источники данных.


Даже без последних патчей можно отключить автоматическое обновление ссылок в DDE

Microsoft первоначально сам советовал компаниям в 2017 году отключить автоматические обновления ссылок, чтобы предотвратить уязвимости DDE в Word и Excel. В январе 2018-го Microsoft выпустил патчи для Excel 2007, 2010 и 2013, которые по умолчанию отключают DDE. Эта статья в Computerworld живописует все детали патча.

Ну а что же журналы событий?


Microsoft все же отказалась от DDE для MS Word и Excel, признав тем самым, наконец, что DDE больше похож на баг, чем на функциональность. Если же вы по какой-либо причине еще не установили эти исправления, то вы все равно можете уменьшить риск атаки на DDE, отключив автоматическое обновление ссылок и включив параметры, которые запрашивают пользователей об обновлении ссылок при открытии документов и электронных таблиц.

А теперь вопрос на миллион: если вы стали жертвой данной атаки, будут ли сеансы PowerShell, запущенные из полей Word или ячейки Excel, отображаться в журнале?


Вопрос: логируются ли сеансы PowerShell запущенные через DDE? Ответ: да

Когда вы запускаете сеансы PowerShell непосредственно из ячейки Excel, а не как макрос, Windows будет регистрировать эти события (см. выше). При этом я не берусь утверждать, что службе безопасности будет легко потом соединить все точки между сеансом PowerShell, документом Excel и почтовым сообщением и понять, где же было начало атаки. Я еще вернусь к этому в последней статье моей нескончаемой серии о неуловимой малвари.

Как там наш COM?


В предыдущей статье я затрагивал тему скриплетов COM. Сами по себе они являются удобной технологией, которая позволяет вам передавать код, скажем, JScript, просто как объект COM. Но затем скриптлеты обнаружили хакеры, и это позволило им закрепляться на компьютере жертвы без использования лишних инструментов. Это видео с конференции Derbycon демонстрирует встроенные инструменты Windows, например, regsrv32 и rundll32, которые принимают удаленные скриптлеты в качестве аргументов, и хакеры, по сути, проводят свою атаку без помощи вредоносных программ. Как я показывал в прошлый раз, вы можете легко запускать команды PowerShell с помощью скриптлета на JScript.

Выяснилось, что один очень сообразительный исследователь нашел способ запуска скриплета COM в документе Excel. Он обнаружил, что при попытке вставить в ячейку ссылку на документ или рисунок, в нее вставляется некий пакет. И этот пакет спокойно принимает на вход удаленный scriptlet (см. ниже).


Бум! Еще один скрытный бесшумный метод для запуска оболочки с помощью скриптлетов COM

После низкоуровневой инспекции кода исследователь выяснил, что это на самом деле баг в программном обеспечении пакета. Он не предназначался для запуска скриплетов COM, а лишь для ссылок на файлы. Я не уверен, существует ли уже патч для этой уязвимости. В моем собственном исследовании на виртуальном рабочем столе Amazon WorkSpaces с предустановленным пакетом Office 2010 я смог воспроизвести его результаты. Однако, когда я чуть позже попробовал снова, у меня уже не получилось.

Я очень надеюсь, что рассказал вам много интересного и в то же время показал, что хакеры могут проникнуть таким или другим похожим способом и в вашу компанию. Даже если вы устанавливаете все последние патчи Microsoft у хакеров по-прежнему много инструментов для закрепления в системе: начиная от макросов VBA, с которых я начинал эту серию, и вплоть до вредоносной нагрузки в Word или Excel.

В последней (я обещаю) статье этой саги, я расскажу о том, как обеспечить разумную защиту.

Отчет о малвари DarkPulsar | Helpform

Специалисты «Лаборатории Касперского» опубликовали большой отчет о малвари DarkPulsar, которую выложили в сеть хакеры из группировки The Shadow Brokers.

Напомню, что в 2017 году эта группировка опубликовала в открытом доступе несколько дампов, содержавших инструменты, некогда принадлежавшие группировке Equation Group. Эту хакерскую группу ИБ-эксперты давно связывают с АНБ. Еще летом 2016 года The Shadow Brokers удалось похитить инструментарий спецслужб, и долгое время хакеры пытались продать его, а когда ничего не вышло, обнародовали бесплатно. Впоследствии инструменты из этого арсенала использовались в ходе таких нашумевших атак, как WannaCry, NotPetya и Bad Rabbit. Долгое время внимание ИБ-специалистов в основном было сконцентрировано на эксплоите EternalBlue и других решениях, которые применялись в этих кампаниях.

Однако теперь специалисты «Лаборатории Касперского» обратили внимание на тот факт, что, среди прочего, The Shadow Brokers опубликовали и два фреймворка: FuzzBunch и DanderSpritz.

Первый фреймворк предлагает консольный интерфейс и в целом напоминает Metasploit. Он спроектирован по модульному принципу и целиком состоит из плагинов разных категорий, используемых для разведки, применения эксплоитов и изучения уже подконтрольных машин. Его предназначение состоит в объединении множества утилит для удобства использования и возможности их комбинирования, например, когда выходные параметры одной утилиты являются входными параметрами для другой.

Второй фреймворк, DanderSpritz, — это, скорее, среда для контроля уже скомпрометированных хостов. Он написан на Java и предоставляет графический интерфейс с окнами, кнопками и меню. Похожие интерфейсы можно увидеть в административных панелях управления ботнетами. DanderSpritz включает собственные бэкдоры и плагины для управления зараженными машинами и не имеющие отношения к FuzzBunch. Таким образом, FuzzBunch и DanderSpritz – это независимые платформы для кибершпионажа, которые имеют общие черты, поскольку созданы, судя по всему, одними разработчиками.

Также в ходе исследования дампа The Shadow Brokers была обнаружена утилита в категории implants («Импланты», иносказательное название малвари), которая называлась DarkPulsar. Она оказалась своеобразным мостом между FuzzBunch и DanderSpritz.

Изучив ее, специалисты поняли, что утилита не является непосредственно бэкдором – это лишь рабочий инструмент для администрирования бэкдора. Также аналитики обратили внимание на некоторые «волшебные» константы, которые использовались в утилите. Основываясь на собранной информации, они разработали специальные обнаруживающие правила, с помощью которых и сумели обнаружить сам имплант.

Создатели DarkPulsar потратили немало ресурсов для разработки собственного механизма присутствия в системе. Также они включили в состав импланта возможность отключения проверок безопасности NTLM протокола, чтобы получить возможность обойти проверку учетных данных при аутентификации. Все это указывает на то, что бэкдор был разработан для длительного присутствия на зараженной машине.
Имплант поддерживает семь команд. Наиболее интересные из них — DisableSecurity and EnableSecurity:

  • Burn – самоуничтожение.
  • RawShellcode – выполнить произвольный базонезависимый код.
  • EDFStageUpload – Exploit Development Framework Stage Upload. Эта команда позволяет развернуть в памяти жертвы и выполнить полезную нагрузку из фреймворка DanderSpritz без записи его на диск. После этого оператор получает возможность выполнить любую из команд DanderSprits в отношении жертвы (подробности – в технической части нашего отчета).
  • DisableSecurity – эта команда для отключения проверок безопасности NTLM-протокола. С помощью этой команды оператор может совершать действия на зараженной машине, требующие авторизации, без ввода правильных учетных данных пользователя – система будет воспринимать любую пару «имя пользователя»-«пароль» как валидную (подробности – в технической части нашего отчета).
  • EnableSecurity – команда, обратная DisableSecurity.
  • UpgradeImplant – команда обновления импланта.
  • PingPong – команда проверки связи с имплантом.

Эксперты «Лаборатории Касперского» выявили порядка 50 жертв DarkPulsar, но уверены, что в период активного использования фреймворков Fuzzbunch и DanderSpritz пострадавших было значительно больше. В пользу этой теории говорит и тот факт, что интерфейс DanderSpritz позволяет управлять множеством жертв одновременно. Еще одна причина уверенности специалистов – имплант поддерживает функцию удаления, и его операторы всегда старались избавиться от ставшей ненужной малвари, после того, как достигали своей цели. 50 обнаруженных жертв на момент публикации исследования – это лишь те, чьи импланты по каким-то причинам остались неудаленными.

Все пострадавшие находились в России, Иране и Египте. Обычно заражены оказывались машины с ОС Windows 2003/2008 Server. Жертвы имели отношение к отраслям ядерной энергетики, телекоммуникаций, информационным технологиям и аэрокосмическому сектору.

Операторы малвари Purple Fox стали использовать FatalRAT | SafeZone

Операторы малвари Purple Fox пополнили свой арсенал новым вариантом трояна удаленного доступа FatalRAT, а также обновили механизмы уклонения от защитных механизмов, сообщают эксперты Trend Micro.

«Операторы Purple Fox по-прежнему активны и постоянно пополняют свой арсенал новыми вредоносными программами, а также обновляют имеющиеся у них варианты вредоносных программ, — говорят эксперты. — Они также пытаются улучшить свой арсенал подписанных руткитов для обхода [антивирусов] и пытаются обойти механизмы обнаружения, атакуя из с помощью кастомных подписанных драйверов ядра».

Исследователи пишут, что атаки на машины пользователей осуществляются с помощью троянов, замаскированных под установщики обычных приложений. К примеру, вредоносы маскируются пол WhatsApp, Adobe Flash Player и Google Chrome, Telegram и так далее.

Такие фальшивки представляют собой загрузчики первого этапа, запуская цепочку заражения, которая в итоге приводит к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением бинарника, наследующего свои функции от FatalRAT.

FatalRAT написан на C++ и предназначен для запуска команд и передачи конфиденциальной информации на удаленный сервер злоумышленников, хотя авторы малвари постепенно оснащают его новыми функциями.

«RAT отвечает за загрузку и выполнение вспомогательных модулей на основе проверок, выполненных в системах-жертвах, — говорят исследователи. — Возможны изменения поведения, если запущены определенные [антивирусные] агенты или найдены ключи реестра».

Кроме того, малварь поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также уклонение от защитных решений путем перехвата вызовов, отправляемых в файловую систему.

Хакер.ру

Industroyer2: перезагрузка Industroyer | WeLiveSecurity

Это вредоносное ПО с поддержкой АСУ нацелено на украинскую энергетическую компанию

Это развивающаяся история, и сообщение в блоге будет обновляться по мере поступления новой информации.

Резюме

В блогпосте представлен анализ кибератаки на украинского поставщика электроэнергии.


Ключевые точки:
  • Исследователи ESET совместно с CERT-UA проанализировали атаку на украинскую энергетическую компанию
  • Разрушительные действия были запланированы на 08.04.2022, но артефакты предполагают, что атака планировалась как минимум на две недели
  • В атаке использовались вредоносное ПО с поддержкой ICS и обычные очистители диска для операционных систем Windows, Linux и Solaris
  • Мы с высокой степенью уверенности оцениваем, что злоумышленники использовали новую версию вредоносного ПО Industroyer, которое использовалось в 2016 году для отключения электроэнергии в Украине
  • Мы с высокой степенью уверенности считаем, что за эту новую атаку несет ответственность APT-группа Sandworm

Industroyer2: перезагрузка Industroyer

Исследователи ESET отреагировали на кибер-инцидент, затронувший поставщика электроэнергии в Украине.Мы тесно сотрудничали с CERT-UA, чтобы исправить и защитить эту критически важную инфраструктурную сеть.

Результатом сотрудничества стало обнаружение нового варианта вредоносного ПО Industroyer, которое мы совместно с CERT-UA назвали Industroyer2 — см. публикацию CERT-UA здесь. Industroyer — это печально известное вредоносное ПО, которое использовалось в 2016 году APT-группой Sandworm для отключения электроэнергии в Украине.

В данном случае злоумышленники Sandworm предприняли попытку развертывания вредоносного ПО Industroyer2 на высоковольтных электрических подстанциях в Украине.

Помимо Industroyer2, Sandworm использовал несколько семейств деструктивных вредоносных программ, включая CaddyWiper, ORCSHRED, SOLOSHRED и AWFULSHRED. Впервые мы обнаружили CaddyWiper 14 марта 2022 г., когда он был использован против украинского банка — см. нашу ветку в Твиттере о CaddyWiper. Вариант CaddyWiper был снова использован 08.04.2022 в 14:58 против ранее упомянутого украинского поставщика энергии.

На данный момент мы не знаем, как злоумышленники скомпрометировали первоначальную жертву и как они перешли из ИТ-сети в сеть промышленной системы управления (ICS).На рис. 1 представлен обзор различных вредоносных программ, используемых в этой атаке.

Рисунок 1. Обзор вредоносных программ, развернутых в ходе атаки

На рис. 2 показана цепочка событий.

  • 24.02.2022: Начало текущего российского вторжения в Украину
  • 14.03.2022: Развертывание CaddyWiper против украинского банка
  • 01.04.2022: Использование CaddyWiper против украинского государственного учреждения
  • 08.04.2022 14:58 UTC: Развертывание CaddyWiper на некоторых машинах Windows и деструктивного вредоносного ПО Linux и Solaris у поставщика энергии
  • 08.04.2022 15:02:22 UTC: Оператор песчаного червя создает запланированное задание на запуск Индустрой-2
  • 08.04.2022 16:10 UTC:  Запланированное выполнение «Индустрой-2» с целью отключения электроэнергии в украинском регионе
  • 08.04.2022 16:20 UTC:  Запланированное выполнение CaddyWiper на той же машине для стирания следов Industroyer2

Рис. 2.Хронология событий

В 2017 году исследователи ESET обнаружили, что часть вредоносного ПО, которое мы назвали Industroyer, было ответственно за отключение электроэнергии, которое затронуло столицу Украины Киев в декабре 2016 года.

Как подробно описано в нашем официальном документе Win32/Industroyer: новая угроза для промышленных систем управления, она способна взаимодействовать с промышленными системами управления, которые обычно используются в системах электроснабжения. Сюда входят устройства IEC-101, IEC-104, IEC 61850 и OPC DA.

В то время мы говорили, что «маловероятно, что кто-то сможет написать и протестировать такое вредоносное ПО без доступа к специализированному оборудованию, используемому в конкретной целевой промышленной среде».Это было подтверждено правительством Соединенных Штатов в 2020 году, когда шести офицерам российской воинской части 74455 Главного разведывательного управления (ГРУ) были предъявлены обвинения в их причастности к многочисленным кибератакам, включая «Индустройер» и «НеПетя» — см. исторический обзор операций Sandworm.

Недавно обнаруженная вредоносная программа представляет собой новый вариант Industroyer, отсюда и название Industroyer2.

Индустройер2

Industroyer2 был развернут как один исполняемый файл Windows с именем 108_100.exe и выполнен с использованием запланированного задания 08 апреля 2022 г. в 16:10:00 UTC. Согласно временной метке PE, он был скомпилирован 23 марта 2022 г., что позволяет предположить, что злоумышленники планировали свою атаку более двух недель.

Рисунок 3. Отметка времени и информация о компиляторе

Industroyer2 реализует только протокол IEC-104 (он же IEC 60870-5-104) для связи с промышленным оборудованием. Сюда входят реле защиты, используемые на электрических подстанциях. Это небольшое отличие от варианта Industroyer 2016 года, который представляет собой полностью модульную платформу с полезной нагрузкой для нескольких протоколов ICS.

Industroyer2 имеет много общего в коде с полезной нагрузкой 104.dll Industroyer. Мы с высокой степенью уверенности оцениваем, что новый вариант был создан с использованием того же исходного кода.

Industroyer2 обладает широкими возможностями настройки. Он содержит жестко закодированную в своем теле подробную конфигурацию, управляющую действиями вредоносного ПО. В отличие от Industroyer, конфигурация хранится в отдельном файле .INI. Таким образом, злоумышленникам необходимо перекомпилировать Industroyer2 для каждой новой жертвы или среды. Однако, учитывая, что семейство вредоносных программ Industroyer* было развернуто только дважды с пятилетним перерывом между каждой версией, это, вероятно, не является ограничением для операторов Sandworm.

Новый формат конфигурации сохраняется в виде строки, которая затем передается программе связи IEC-104 вредоносной программы. Industroyer2 может взаимодействовать с несколькими устройствами одновременно. В частности, анализируемый образец содержит восемь разных IP-адресов устройств — см. рис. 4.

.

Рис. 4. Жестко закодированная конфигурация в примере «Индустрой-2»

Конфигурация содержит значения, используемые при обмене данными по протоколу IEC-104, такие как адрес ASDU (блок данных службы приложений), адреса информационных объектов (IOA), тайм-ауты и т. д.

Перед подключением к целевым устройствам вредоносная программа завершает легитимный процесс, который используется в стандартных повседневных операциях. Кроме того, он переименовывает это приложение, добавляя .MZ к имени файла. Это делается для того, чтобы предотвратить автоматический повторный запуск этого законного процесса.

Анализ все еще продолжается, чтобы определить, какие именно действия предприняты для каждого устройства. Мы считаем, что этот компонент может управлять определенными системами АСУ ТП с целью отключения питания.

Industroyer2 может создать файл журнала или вывести свой прогресс в окно консоли. Однако вместо осмысленных текстовых сообщений, как в предыдущей версии, вредонос выводит различные коды ошибок — см. рис. 5. Мы полагаем, что это попытка разработчиков Sandworm запутать его, чтобы затруднить анализ.

Рисунок 5. Вывод вредоносной программы Industroyer2 (IP-адреса отредактированы ESET)

CaddyWiper

В координации с развертыванием Industroyer2 в сети АСУ злоумышленники развернули новую версию деструктивного вредоносного ПО CaddyWiper.Мы полагаем, что это было сделано для того, чтобы замедлить процесс восстановления и не дать операторам энергетической компании восстановить контроль над консолями АСУ. Он также был развернут на машине, где был казнен Индустрой-2, вероятно, чтобы замести следы.

Первая версия CaddyWiper была обнаружена исследователями ESET в Украине 14.03.2022 при развертывании в сети банка. Он был развернут через объект групповой политики (GPO), что указывает на то, что злоумышленники заранее имели контроль над сетью цели.Очиститель стирает пользовательские данные и информацию о разделах с подключенных дисков, делая систему неработоспособной и не подлежащей восстановлению.

Новая погрузочная цепь CaddyWiper

В сети поставщика энергии злоумышленники развернули новую версию CaddyWiper, использующую новый загрузчик ARGUEPATCH от CERT-UA. ARGUEPATCH — это исправленная версия законного компонента программного обеспечения Hex-Rays IDA Pro, в частности удаленного сервера отладки IDA win32_remote.exe. IDA Pro не предназначен для использования в среде ICS, поскольку его основная цель — реинжиниринг программного обеспечения, включая анализ вредоносных программ.Мы не знаем, почему злоумышленники решили троянизировать эту часть программного обеспечения; это может быть тролль по отношению к защитникам.

ARGUEPATCH был выполнен запланированным заданием, которое должно было быть запущено один раз 08.04.2022 в 14:58 UTC на одной машине и в 16:20 UTC на машине, где был развернут Индустройер2.

Исправленный двоичный файл загружает зашифрованный шелл-код из файла и расшифровывает его с помощью ключа, и то, и другое предоставляется в командной строке. Однобайтовый ключ XOR получается из входного ключа и используется для расшифровки шелл-кода.

Расшифрованный шеллкод представляет собой слегка модифицированную версию CaddyWiper. Сравнение их основных подпрограмм представлено на рисунках 6 и 7. Обратите внимание, что они не стирают контроллер домена, а стирают C:\Users\ и диски с D:\ на [:\. Процедура очистки также почти идентична: она заполняет все файлы 0.

.

Рисунок 6. Основная процедура первого образца CaddyWiper.

 

Рисунок 7. Основная процедура образца CaddyWiper, развернутого у поставщика энергии

Наконец, CaddyWiper вызывает DeviceIoControl с IOCTL_DISK_SET_DRIVE_LAYOUT_EX и обнуленным InputBuffer для всех дисков от \\PHYSICALDRIVE9 до \\PHYSICALDRIVE0.Это стирает расширенную информацию о разделах диска: основную загрузочную запись (MBR) или таблицу разделов GUID (GPT). Это делает машину не загружаемой.

Перечисление Active Directory

Помимо CaddyWiper, скрипт PowerShell был обнаружен как в сети поставщика электроэнергии, так и во взломанном ранее банке.

Этот сценарий перечисляет объекты групповой политики (GPO) с помощью интерфейса службы Active Directory (ADSI). Сценарий, показанный на рис. 8, почти идентичен фрагменту из публикации в блоге Medium.

Мы полагаем, что злоумышленники развернули CaddyWiper через объект групповой политики и использовали сценарий для проверки существования этого объекта групповой политики.

Рисунок 8. Сценарий PowerShell для перечисления GPO (улучшенный)

Разрушительное вредоносное ПО для Linux и Solaris (ORCSHRED, SOLOSHRED, AWFULSHRED)

Дополнительное разрушительное вредоносное ПО для систем под управлением Linux и Solaris также было обнаружено в сети целевой энергетической компании. В этой атаке есть два основных компонента: червь и вайпер.Последний был найден в двух вариантах, по одному для каждой целевой операционной системы. Все вредоносное ПО было реализовано на Bash.

Червь

Первым компонентом, запущенным злоумышленником, был червь с именем файла sc.sh. Этот сценарий Bash начинается с добавления запланированной задачи (задания cron) для запуска компонента очистки в 14:58 UTC (при условии, что система находится в местном часовом поясе, UTC+3), если только он не был запущен с аргументом «владелец». Вероятно, это способ избежать автоматического уничтожения первоначальной системы, используемой для запуска червя.

Рисунок 9. Настройка задания cron для запуска очистки в 17:58. Правильный вайпер выбирается в зависимости от установленной операционной системы.

Затем сценарий выполняет итерацию по сетям, доступным системе, просматривая результат ip route или ifconfig -a. Он всегда предполагает, что сеть класса C (/24) доступна для каждого IP-адреса, который он собирает. Он попытается подключиться ко всем хостам в этих сетях, используя SSH для TCP-портов 22, 2468, 24687 и 522. Как только он найдет доступный SSH-сервер, он попытается использовать учетные данные из списка, предоставленного вредоносным скриптом.Мы полагаем, что перед атакой у злоумышленника были учетные данные, позволяющие распространять вайпер.

Если система еще не скомпрометирована, вредоносное ПО копируется на новую цель и запускается червь. Червь запущен с номером , а не с аргументом владельца, поэтому запуск очистителя запланирован на 14:58 UTC и уничтожение всех данных. Если эти системы были настроены на местный часовой пояс, уничтожение должно было начаться в то же время, когда система была скомпрометирована с помощью CaddyWiper.

Очиститель Linux

Вариант очистителя для Linux слегка запутан: имена переменных и функций заменены бессмысленными 8-буквенными словами.Большинство литеральных значений также были заменены переменными в начале файла.

Рис. 10. За исключением запутанного скрипта (оптимизировано пробелами).

Рисунок 11. Деобфускация вышеперечисленного, полученная путем переименования функций и переменных и использования литералов

В конечном счете, очиститель Linux уничтожает все содержимое дисков, подключенных к системе, используя shred, если он доступен, или просто dd (с if=/dev/random) в противном случае. Если подключено несколько дисков, удаление данных выполняется параллельно для ускорения процесса.

В зависимости от размера может потребоваться несколько часов, чтобы полностью очистить диск. Чтобы быстрее вывести систему из строя, она сначала пытается остановить и отключить службы HTTP и SSH. Обе службы отключаются с помощью systemctl disable. Чтобы предотвратить повторное включение службы, файл модуля systemd, отвечающий за загрузку службы, удаляется с диска.

Файлы из /boot, /home и /var/log также удаляются перед полным уничтожением дисков. Это делает систему неработоспособной быстрее, удаляет пользовательские данные и, возможно, удаляет компрометирующие журналы.

Последним действием вредоносного сценария является принудительная перезагрузка с помощью SysRq. Поскольку все диски заполнены случайным образом, ни одна операционная система не загрузится.

Стеклоочиститель Солярис

В отличие от очистителя Linux, вариант Solaris не запутывается.

Как и вариант для Linux, вредоносный скрипт перебирает все службы, чтобы остановить и отключить их, если они содержат ключевое слово ssh, http, apache и дополнительно ora_ или oracle. Эти службы, скорее всего, используются приложениями, используемыми для управления системами ICS.Их удаление не позволит операторам энергетической компании вернуть себе контроль над подстанциями и отменит действия «Индустрой-2».

Он использует либо systemctl, либо svcadm, в зависимости от того, что доступно. Последнее наиболее вероятно, так как Solaris не использует systemd.

Уничтожение файлов начинается с удаления баз данных. Он удаляет, используя shred, а затем rm, все файлы и каталоги, содержащиеся в переменных среды, начиная с ORA. База данных Oracle использует следующие переменные для определения местоположения файлов базы данных и программного обеспечения: ORACLE_BASE, ORACLE_HOME и ORACLE_PATH.Обратите внимание, что уничтожение гарантирует невозможность восстановления данных (без резервной копии).

Как и в случае с Linux, файлы в каталогах /boot, /home и /var/log удаляются с приоритетом.

Затем сценарий выполняет итерацию по дискам, подключенным к системе, которые находятся в /dev/dsk/. Он игнорирует слайсы (разделы) и работает только на полных дисках. Для каждого из них вредоносный скрипт перезаписывает полное содержимое с помощью shred. Чтобы свести к минимуму время, необходимое для выполнения очистки, все диски стираются параллельно.

Наконец, сценарий самоуничтожается.

Заключение

Украина снова оказалась в центре кибератак, направленных на их критическую инфраструктуру. Эта новая кампания Industroyer следует за несколькими волнами вайперов, которые были нацелены на различные сектора в Украине. Исследователи ESET продолжат следить за ландшафтом угроз, чтобы лучше защитить организации от подобных разрушительных атак.

И большое спасибо @_CERT_UA, который работал с нами над этим делом и предоставил образцы. Вы можете прочитать их рекомендации по этой кампании здесь.

По любым вопросам, связанным с нашим исследованием, опубликованным на сайте WeLiveSecurity, обращайтесь к нам по адресу [email protected]

ESET Research теперь также предлагает частные аналитические отчеты об APT и потоки данных. Если у вас есть вопросы об этой службе, посетите страницу ESET Threat Intelligence.

Индикаторы компрометации

SHA-1 Имя файла Имя обнаружения ESET Описание
FD9C17C35A68FC505235E20C6E50C622AED8DEA0 108_100.exe Win32/Industroyer.B Industroyer2
6FA04992C0624C7AA3CA80DA6A30E6DE91226A16 zrada.exe Win32/Agent.AECG ArguePatch
9CE1491CE69809F92AE1FE8D4C0783BD1D11FBE7 pa.pay Н/Д TailJump
(Зашифрованный CaddyWiper)
0090CB4DE31D2D3BCA55FD4A36859921B5FC5DAE link.ps1 PowerShell/HackTool.Agent.AH Скрипт, перечисляющий GPO
D27D0B9BB57B2BAB881E0EFB97C740B7E81405DF шт.sh Троян Linux/Agent.PC OrcShred (червь Linux)
3CDBC19BC4F12D8D00B81380F7A2504D08074C15 wobf.sh Троян Linux/KillFiles.C AwfulShred (очиститель Linux)
8FC7646FA14667D07E3110FE754F61A78CFDE6BC wsol.sh Linux/KillFiles.B троян SoloShred
(очиститель Solaris)

 

Эта вредоносная программа для Windows нацелена на кражу ваших паролей в социальных сетях

Исследователи кибербезопасности из Zscaler предупреждают о вредоносном ПО под названием FFDroider, которое предназначено для кражи имен пользователей и паролей, а также файлов cookie с зараженных компьютеров Windows.

FFDroider в основном занимается кражей учетных данных для входа в социальные сети, включая Facebook, Instagram и Twitter, но также крадет пароли для учетных записей Amazon, eBay и Etsy. Вредоносное ПО может красть файлы cookie из браузеров Google Chrome, Mozilla Firefox, Internet Explorer и Microsoft Edge.

Информация, украденная троянской вредоносной программой, может использоваться для получения контроля над учетными записями, кражи личной информации, совершения мошенничества в отношении жертв, а также может предоставить злоумышленникам средства для взлома других учетных записей, если для доступа к ним используется тот же адрес электронной почты и пароль .

Zscaler заявил, что наблюдал «множество» кампаний, связанных с FFDroider, и все они связаны с вредоносной программой, встроенной во взломанные версии установщиков и бесплатного ПО.

ПОСМОТРЕТЬ:  Выигрышная стратегия для кибербезопасности   (специальный отчет ZDNet)

Чтобы не быть обнаруженным, несмотря на то, что Telegram маскируется под пользователей после установки, приложение мессенджера маскируется под пользователей после установки Пользователи Telegram могут задаться вопросом, почему появились папки, выдающие себя за это приложение.

После установки в системе вредоносное ПО отслеживает действия жертвы и, когда они вводят свое имя пользователя и пароль в указанные платформы социальных сетей, похищает информацию. FFDroider также крадет файлы cookie и сохраненные учетные данные для входа из браузера.

Если украденные учетные данные социальной сети связаны с бизнес-аккаунтом, вредоносная программа также ищет платежную информацию, что потенциально позволяет злоумышленникам украсть банковские платежные реквизиты.

Злоумышленники также могут использовать скомпрометированные учетные записи предприятий в Facebook или Instagram для запуска вредоносных рекламных кампаний, получения контроля над дополнительными учетными записями, кражи дополнительных платежных данных или дальнейшего распространения вредоносного ПО.

Учетные записи в социальных сетях содержат большое количество личной информации, а украденные данные являются основным товаром для киберпреступников, которые могут использовать данные для совершения мошенничества сами или продать другим на подпольных форумах.

Чтобы обезопасить себя от этой конкретной кампании, люди должны быть крайне осторожны с неожиданными электронными письмами, в которых утверждается, что они предлагают бесплатное программное обеспечение, особенно если за это программное обеспечение обычно нужно платить, поскольку это часто является явным признаком того, что ссылка для загрузки не может быть доверенным.

Также полезно применять многофакторную аутентификацию на всех платформах социальных сетей, так как это помогает предотвратить доступ злоумышленников к учетным записям, даже если у них есть правильный пароль. В любой ситуации, когда вы думаете, что ваш пароль мог быть украден, вы должны немедленно изменить его.

БОЛЬШЕ О КИБЕРБЕЗОПАСНОСТИ

Российские хакеры Sandworm предприняли третью попытку отключения электроэнергии в Украине

Прошло более полувека с тех пор, как печально известные российские хакеры, известные как Sandworm, атаковали станцию ​​электропередач к северу от Киева за неделю до Рождества 2016 года, с помощью уникального автоматизированного кода для прямого взаимодействия с автоматическими выключателями станции и отключения света в небольшой части столицы Украины.Этот беспрецедентный образец вредоносного программного обеспечения для систем промышленного контроля никто больше не видел — до сих пор: в разгар жестокого вторжения России в Украину Sandworm, похоже, использует свои старые трюки.

Во вторник Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) и словацкая компания по кибербезопасности ESET опубликовали сообщения о том, что хакерская группа Sandworm, подтверждённая подразделением 74455 ГРУ России, атаковала высоковольтные электрические подстанции в Украина использует разновидность вредоносного ПО, известного как Industroyer или Crash Override.Новое вредоносное ПО, получившее название Industroyer2, может напрямую взаимодействовать с оборудованием в электросетях для отправки команд устройствам подстанции, которые контролируют поток электроэнергии, как и предыдущий образец. Это сигнализирует о том, что самая агрессивная российская команда по кибератакам предприняла третью попытку отключения электроэнергии в Украине спустя годы после ее исторических кибератак на украинскую энергосистему в 2015 и 2016 годах, которые до сих пор являются единственными подтвержденными отключениями электроэнергии, которые, как известно, были вызваны хакерами.

ESET и CERT-UA сообщают, что вредоносное ПО было внедрено в целевые системы региональной украинской энергетической компании в пятницу.CERT-UA сообщает, что атака была успешно обнаружена в процессе и остановлена ​​до того, как можно было вызвать какое-либо фактическое отключение. Но в более раннем частном сообщении CERT-UA на прошлой неделе, впервые опубликованном сегодня в MIT Technology Review , говорилось, что электричество было временно отключено на девяти электрических подстанциях.

И CERT-UA, и ESET отказались назвать затронутую утилиту. Но, по словам заместителя министра энергетики Украины Фарида Сафарова, на территории, которую он обслуживает, проживает более 2 миллионов человек.

«Попытка взлома не повлияла на подачу электроэнергии в электроэнергетическую компанию. Она была оперативно обнаружена и устранена», — говорит Виктор Жора, высокопоставленный сотрудник украинского агентства кибербезопасности, известного как Государственная служба специальной связи и защиты информации ( СССКИП). «Но запланированный сбой был огромным». Отвечая на вопрос о более раннем отчете, в котором, по-видимому, описывалась атака, которая была, по крайней мере, частично успешной, Жора назвал его «предварительным отчетом» и поддержал последние публичные заявления, сделанные им и CERT-UA.

По данным CERT-UA, хакеры проникли в целевую электроэнергетическую компанию в феврале, а возможно, и ранее — как именно, пока неясно, — но попытались развернуть новую версию «Индустройера» только в пятницу. Хакеры также развернули несколько форм вредоносных программ-«очистителей», предназначенных для уничтожения данных на компьютерах внутри утилиты, в том числе программы очистки, предназначенные для систем на базе Linux и Solaris, а также более распространенные программы очистки Windows, а также фрагмент кода, известный как CaddyWiper. которые были обнаружены в украинских банках в последние недели.Во вторник CERT-UA заявила, что она также смогла поймать это вредоносное ПО, прежде чем его можно было использовать. «Нам очень повезло, что мы смогли своевременно отреагировать на эту кибератаку», — сказал Жора журналистам на брифинге во вторник.

Серия патентных исков бросает вызов истории обнаружения вредоносных программ

В начале марта компания Webroot, занимающаяся кибербезопасностью, и ее материнская компания OpenText начали серию патентных споров, в которых содержались некоторые поучительные претензии. Четыре иска, поданные 4 марта в суд Западного округа Техаса, который известен своим дружественным отношением к патентообладателям, утверждают, что методы, лежащие в основе современного обнаружения вредоносных программ, основаны на запатентованных технологиях, и что конкуренты компании нарушают права интеллектуальной собственности, внедряя программное обеспечение для сетевой безопасности. .

Ответчики, названные в исках, представляют собой представителей охранных компаний: CrowdStrike, Kaspersky, Sophos и Trend Micro. Согласно OpenText, компании используют запатентованные технологии в своих приложениях для защиты от вредоносных программ, особенно в системах безопасности конечных точек, которые защищают определенные устройства в сети. Это широкомасштабный судебный процесс, который подвергает большую часть индустрии безопасности непосредственной опасности. А для критиков это горькое напоминание о том, сколько вреда еще может нанести патентный тролль.

«Приглашаем Webroot и OpenText вступить в ряды серьезных компаний, занимающихся кибербезопасностью»

До сих пор компании, обеспечивающие безопасность конечных точек, демонстрировали ожесточенное сопротивление самой идее дела. Представитель «Лаборатории Касперского» заявил, что компания «изучает проблему», но не дал никаких дополнительных комментариев по этому делу.

Сара Эберле, вице-президент по глобальным связям с общественностью Sophos, была более откровенной, рассказав The Verge , что компания будет бороться с судебным процессом: «Sophos предпочитает конкурировать на рынке, а не в зале суда, но мы будем энергично защищаться. в этом судебном процессе», — сказал Эберле.«Мы приглашаем Webroot и OpenText вступить в ряды серьезных компаний, занимающихся кибербезопасностью, которые пытаются решать проблемы, а не создавать их».

Ответы главного операционного директора Trend Micro Кевина Симзера и старшего директора по корпоративным коммуникациям CrowdStrike Кевина Беначчи пошли еще дальше: оба обвинили OpenText в «патентном троллинге» в заявлениях, отправленных по адресу The Verge .

Печально известный такими компаниями, как Intellectual Ventures, «патентный троллинг» относится к практике скупки патентов для использования в судебных процессах, а не для исследований и разработок.Конечным результатом является препятствие для любого, кто создает технологии, но это может быть весьма прибыльным для компаний, которые могут хорошо играть в эту игру.

«OpenText намерена активно защищать свои права на интеллектуальную собственность».

Но OpenText настаивает на том, что иски касаются защиты интеллектуальной собственности. В ответ на комментарии ответчиков директор по связям с общественностью OpenText Дженнифер Белл заявила, что иски подаются для защиты компании от недобросовестных и незаконных действий со стороны ее конкурентов.«OpenText предъявляет эти иски, чтобы защитить свои инвестиции в интеллектуальную собственность и привлечь эти стороны к ответственности за их нарушение и незаконную конкуренцию», — сказал Белл. «В этих судебных процессах утверждается, что ответчики нарушают права и незаконно конкурируют с аспектами семейства продуктов и платформ для защиты конечных точек компаний OpenText. OpenText намерен решительно защищать свои права на интеллектуальную собственность».

Чарльз Дуан, научный сотрудник Корнельского университета и специалист в области права интеллектуальной собственности, описал возможные результаты, которые могут варьироваться от финансового возмещения до эффективного запрета на программное обеспечение, нарушающее авторские права, в случае, если истец выиграет дело.

«Суд может применить здесь ряд средств правовой защиты», — сказал Дуан. «Одним из них является судебный запрет: они могут сказать, что все эти другие компании, использующие запатентованную технологию, должны прекратить это делать. Они также могут возместить денежный ущерб, по сути говоря, что эти компании должны компенсировать компании использование их запатентованных технологий».

Но простая экономическая теория предполагает, что наиболее вероятным исходом является урегулирование: факт, который указывает на стимулы для возбуждения даже неосновательных патентных исков и выдвигает на первый план материальную основу для патентного троллинга.

«С практической точки зрения, многие из этих дел никогда не доходят до этой точки [судебного решения] только потому, что стоимость судебного разбирательства делает нецелесообразным проведение всего судебного разбирательства, даже если патент очень сомнительный или кажется вероятным, что компании не нарушают», — сказал Дуан.

Хотя иск подан в 2022 году, решение будет частично зависеть от того, были ли методы, описанные в патенте, широко известны на момент подачи заявки на патент.Один из патентов, лежащих в основе иска, — патент США № 8 418 250, именуемый в судебном процессе «патентом 250», — был выдан в США в 2013 г., но впервые выдан британским патентным ведомством в 2005 г. Другой , Патент США № 8 726 389 или патент ‘389, также был выдан в Великобритании в 2005 г. и выдан в США в 2014 г.

«Стоимость судебного разбирательства делает нецелесообразным проведение всего судебного разбирательства, даже если патент очень сомнительный»

Даже принимая во внимание возраст патентов, некоторым экспертам ясно, что описанные в них методики являются чрезмерно широкими.Джо Маллин, старший политический аналитик Electronic Frontier Foundation (EFF), сообщил The Verge , что некоторые функции в патенте потенциально слишком абстрактны, чтобы их нельзя было запатентовать:

«В патенте 389 заявлено очень простое поведение, которое можно выполнить с помощью ручки и бумаги, — сказал Маллин. «Он просто описывает «получение данных», затем «сопоставление» и «классификацию» данных, «сравнение» данных с другими компьютерными объектами, а затем классификацию чего-либо как вредоносного (или нет) на основе этого сравнения.

«Основной принцип патентного права заключается в том, что вы не можете получить монополию на «абстрактную идею», потому что это отнимет слишком много у общества и не будет представлять собой настоящее изобретение патентообладателя. Этот патент следует признать недействительным, поскольку он касается «абстрактных идей», — сказал Маллин.

Но там, где критики видят широкий патент, OpenText представляет это как аргумент в пользу эволюции самой сетевой безопасности. В своей жалобе, поданной против Trend Micro, OpenText утверждает, что там, где обнаружение вредоносных программ раньше основывалось на классификации того, что представляет собой программа , запатентованная технология основана на анализе того, что программа делает .Вместо того, чтобы сопоставлять данные файлов с библиотекой известных вирусов, современная система защиты конечных точек анализирует действия, выполняемые в компьютерной системе. В результате такого рода обнаружение вредоносных программ может помечать и содержать ранее неизвестные образцы вредоносного программного обеспечения. Это настоящий сдвиг в подходах компаний к обеспечению безопасности конечных точек. И, согласно OpenText, сдвиг восходит к патентам, перечисленным в деле.

«Патент 389 утверждает очень простое поведение, которое можно выполнить с ручкой и бумагой.

Противники этих утверждений, включая не только ответчиков, но и исследователей в области кибербезопасности, которые критиковали судебные процессы в Интернете, не согласны с широтой аргументов, утверждая, что запатентованная технология отражает общие изменения в эволюции обнаружения вредоносных программ с течением времени. (В качестве стратегии патентный троллинг опирается на такого рода общность: согласно EFF, перегруженное работой Бюро по патентам и товарным знакам США выдало «поток плохих патентов на так называемые изобретения, которые являются неоригинальными, расплывчатыми, чрезмерно широкими и/или настолько неясно, могут ли плохие актеры легко использовать их, чтобы угрожать новаторам любого рода.»)

Более того, противодействие судебным искам может быть основано на том факте, что OpenText не участвовал в исследованиях, в результате которых был создан патент: вместо этого, благодаря приобретению Carbonite, которая ранее приобрела Webroot, OpenText стал владельцем ряда патентов, которые были назначен небольшой фирме по кибербезопасности. Купив компанию, которая контролировала первоначальные патенты, OpenText теперь имеет ценную интеллектуальную собственность и возможность извлекать из нее выгоду — несмотря на скептицизм по поводу того, действительно ли методы, описанные в патентах, восходят к инновациям, разработанным одной группой исследователей.

Есть еще некоторые средства защиты для обвиняемых. Там, где патенты слишком расплывчаты, борьба с ними может происходить в местах, отличных от зала суда — с еще одним вариантом — подать апелляцию в патентное ведомство, пояснил Чарльз Дуан. «Есть процедуры, которые были созданы около 10 лет назад, они называются проверка с участием сторон или проверка после выдачи, и они дают компаниям возможность заявить патентному ведомству, что, когда ведомство выдавало патенты, они допустили ошибку. — сказал Дуан.«Вероятно, это направление, в котором некоторые из этих охранных компаний заинтересуются».

В процессе рассмотрения после выдачи патента компании пытаются убедить патентное ведомство в том, что методы, описанные в патенте, на самом деле следует считать непатентоспособными. Если этот аргумент будет успешным — и патентное ведомство вернет решение до даты судебного разбирательства — тогда основание для судебного иска развалится. Но поскольку любая задержка может обойтись очень дорого, некоторые компании не могут рисковать и ждать этого решения.

«Они сигнализируют, что устроят драку, прежде чем договорятся в какой-то момент»

Тем временем критики существующей патентной системы увидят судебные иски OpenText как пример структуры интеллектуальной собственности, которая душит инновации, а не продвигает их.

«Возможно, здесь происходит то, что [OpenText] на самом деле не пытается остановить эти компании, а скорее дает понять, что в какой-то момент устроит драку, прежде чем уладить дело», — сказал Дуан.

Google только что выпустил это предупреждение о вредоносном ПО для всех пользователей Android — Best Life

Для большинства обеспечение безопасности вашего смартфона обычно означает, что вы не должны оставлять его без присмотра в общественных местах или блокировать его паролем.В конце концов, доступ вашего телефона ко всему, от ваших сохраненных личных данных до банковских счетов, делает его особенно чувствительным элементом оборудования. Но если вы являетесь пользователем Android, вы можете проявить особую осторожность в свете недавно обнаруженной угрозы безопасности. Читайте дальше, чтобы узнать, что может подвергнуть ваше устройство опасности.

СВЯЗАННО: Если у вас есть Android, вам будет запрещено делать это с сегодняшнего дня.

Shutterstock

В недавнем сообщении в блоге компания ThreatFabric, занимающаяся финансовой кибербезопасностью, объявила об обнаружении новой опасной вредоносной программы, нацеленной на телефоны Android.Незаконное программное обеспечение представляет собой последнюю версию «Octo», печально известного банковского вредоносного ПО, которое может дать хакерам полный контроль над устройствами, которые его случайно установили, включая доступ к вашей личной информации и финансовым счетам, сообщает The U.S. Sun .

Shutterstock

По данным ThreatFabric, Octo — это последняя разработка в серии программ, известных как трояны удаленного доступа (RAT), доступных преступникам в даркнете. После того, как ничего не подозревающие жертвы загружают вредоносное ПО, оно может тайно работать в фоновом режиме для добычи информации и даже совершения мошенничества.Программа также позволяет хакерам управлять громкостью, push-уведомлениями и яркостью экрана, из-за чего дисплей телефона становится черным или отключается, чтобы они могли беспрепятственно получать доступ к устройству.

Как и другие вредоносные программы, Octo также включает в себя кейлоггер для кражи личных данных и паролей, возможность перехвата и отправки текстовых сообщений, возможность запуска приложений и контроль над блокировкой домашнего экрана.

СВЯЗАННЫЕ: Чтобы получать актуальную информацию, подпишитесь на нашу ежедневная рассылка.

Shutterstock

Эксперты предупреждают, что программа распространяется с использованием веб-сайта или целевой страницы, которые создают фальшивый запрос на обновление браузера или программного обеспечения. Однако это программное обеспечение даже было включено в приложения, которые ранее были доступны на официальном рынке загрузки Google.ae0fcc31ae342fd3a1346ebb1f342fcb

.

«ExobotCompact/Octo обладает опасными возможностями, основанными на изобретательных схемах распространения, включая дропперы в официальном магазине Google Play и вредоносные целевые страницы», — пишет ThreatFabric.«Таким образом, клиенты, скорее всего, будут устанавливать вредоносное ПО на свои устройства, что позволит злоумышленникам получить удаленный доступ к своим устройствам и, следовательно, к своим банковским счетам».

Чтобы избежать заражения вашего телефона Octo или другим вредоносным ПО, всегда лучше быть осторожным с тем, какие приложения и программы вы устанавливаете на свои устройства, сообщает технический блог Tom’s Guide. И хотя вы всегда должны придерживаться надежных источников загрузки, даже официальные рынки приложений могут иногда пропускать скрытые вредоносные коды в программах.Чтобы избежать любых угроз, попробуйте включить Play Protect, коснувшись значка своего профиля рядом с панелью поиска и щелкнув значок шестеренки на своем устройстве. Оттуда убедитесь, что включены параметры «Сканировать приложения с помощью Play Protect» и «Улучшить обнаружение вредоносных приложений».

Shutterstock

Это не единственная серьезная уязвимость, недавно обнаруженная в продуктах Android. В сообщении в блоге от 1 апреля исследовательская группа по кибербезопасности Lab52 опубликовала предупреждение об обнаружении вредоносного программного обеспечения, способного заражать смартфоны.Программу, известную как «Диспетчер процессов», можно незаметно загрузить на устройства, а затем использовать для отправки личной информации хакерам.

По данным Lab52, пользователи обычно загружают приложение случайно после нажатия на ссылку, полученную ими в текстовом сообщении или электронной почте на своем устройстве. Оттуда вредоносное ПО будет отображать фальшивое предупреждающее сообщение, которое предоставляет ему доступ к камере и микрофону телефона и позволяет ему читать текстовые сообщения, электронные письма, журналы вызовов, контактную информацию и точное местоположение устройства.Затем приложение будет продолжать работать в фоновом режиме для сбора информации, которая может быть отправлена ​​хакерам и использована для эксплуатации или шантажа жертв, сообщает The U.S. Sun .

Чтобы убедиться, что на вашем телефоне нет шпионских программ, эксперты рекомендуют дважды проверить, какие приложения имеют разрешение на доступ к камере, микрофону и сообщениям вашего устройства. Вы можете сделать это, нажав «Настройки», а затем выполнив поиск «Приложения» или «Приложения и уведомления», прежде чем нажать «Разрешения». Если какие-либо неизвестные вам программы имеют доступ к вашему устройству, немедленно отзовите их.

СВЯЗАННЫЙ: Apple только что выпустила это серьезное предупреждение для всех пользователей iPhone и iPad.

Более 16 500 сайтов взломаны для распространения вредоносного ПО через веб-службу перенаправления

Было обнаружено, что новая система направления трафика (TDS) под названием Parrot использует десятки тысяч скомпрометированных веб-сайтов для запуска дальнейших вредоносных кампаний.

«TDS заразил различные веб-серверы, на которых размещено более 16 500 веб-сайтов, начиная от сайтов с контентом для взрослых, личных веб-сайтов, университетских сайтов и сайтов местных органов власти», — заявили исследователи Avast Павел Новак и Ян Рубин в отчете, опубликованном на прошлой неделе.

Системы направления трафика используются злоумышленниками, чтобы определить, представляет ли цель интерес и должна ли она быть перенаправлена ​​на вредоносный домен, находящийся под их контролем, и выступать в качестве шлюза для взлома их систем с помощью вредоносного ПО.

Ранее в январе группа исследований и разведки BlackBerry подробно описала еще одну TDS под названием Prometheus, которая использовалась в различных кампаниях, организованных киберпреступными группами для распространения вредоносных программ Campo Loader, Hancitor, IcedID, QBot, Buer Loader и SocGholish.

Что выделяет Parrot TDS, так это его огромный охват: в феврале и марте 2022 года наблюдалась повышенная активность, поскольку его операторы в основном выделяли серверы, на которых размещены плохо защищенные сайты WordPress, для получения доступа администратора.

Большинство пользователей, на которых нацелены эти вредоносные перенаправления, находятся в Бразилии, Индии, США, Сингапуре, Индонезии, Аргентине, Франции, Мексике, Пакистане и России.

«Внешний вид зараженных сайтов изменяется с помощью кампании под названием FakeUpdate (также известной как SocGholish), которая использует JavaScript для отображения поддельных уведомлений для пользователей об обновлении своего браузера, предлагая файл обновления для загрузки», — заявили исследователи.«Файл, который доставляется жертвам, является инструментом удаленного доступа».

Parrot TDS с помощью внедренного PHP-скрипта, размещенного на скомпрометированном сервере, предназначен для извлечения информации о клиенте и пересылки запроса на сервер управления и контроля (C2) при посещении одного из зараженных сайтов, а также позволяет злоумышленнику для выполнения произвольного кода на сервере.

Ответ от сервера C2 принимает форму кода JavaScript, который выполняется на клиентской машине, подвергая жертв новым потенциальным угрозам.Наряду с вредоносным PHP-скриптом бэкдора также наблюдается веб-оболочка, которая предоставляет злоумышленнику постоянный удаленный доступ к веб-серверу.

Назвав преступников, стоящих за кампанией FakeUpdate, постоянными клиентами Parrot TDS, Avast заявила, что атаки включали в себя побуждение пользователей к загрузке вредоносного ПО под видом мошеннических обновлений браузера, трояна удаленного доступа под названием «ctfmon.exe», который дает злоумышленнику полный доступ хозяину.


Новое вредоносное ПО использует ошибку Windows, чтобы скрыть запланированные задачи

Корпорация Майкрософт обнаружила новое вредоносное ПО, используемое поддерживаемой Китаем хакерской группой Hafnium для поддержания устойчивости в скомпрометированных системах Windows путем создания и сокрытия запланированных задач.

 Группа угроз Hafnium ранее атаковала американские оборонные компании, аналитические центры и исследователей в целях кибершпионажа.

Это также одна из спонсируемых государством групп, связанных с прошлогодней глобальной эксплуатацией уязвимостей нулевого дня ProxyLogon, затрагивающих все поддерживаемые версии Microsoft Exchange.

Сохранение через удаление значения реестра Windows

«Поскольку Microsoft продолжает отслеживать высокоприоритетную спонсируемую государством угрозу HAFNIUM, была обнаружена новая активность, которая использует неисправленные уязвимости нулевого дня в качестве начальных векторов», — сообщила группа обнаружения и реагирования Microsoft (DART).

«Дальнейшее расследование выявляет криминалистические артефакты использования инструментов Impacket для бокового перемещения и выполнения, а также обнаружение вредоносного ПО для уклонения от защиты под названием Tarrask, которое создает «скрытые» запланированные задачи, и последующие действия по удалению атрибутов задачи, чтобы скрыть запланированные задачи. от традиционных средств идентификации».

Этот хакерский инструмент, получивший название Tarrask , использует ранее неизвестную ошибку Windows, чтобы скрыть их от «schtasks/query» и планировщика заданий путем удаления соответствующего значения реестра дескриптора безопасности.

Группа угроз использовала эти «скрытые» запланированные задачи для сохранения доступа к взломанным устройствам даже после перезагрузки путем восстановления разорванных соединений с инфраструктурой управления и контроля (C2).

Хотя операторы Hafnium могли бы удалить все артефакты на диске, включая все ключи реестра и XML-файл, добавленный в системную папку, чтобы удалить все следы своей злонамеренной деятельности, это устранило бы сохранение после перезапуска.

Удаление дескриптора безопасности для скрытия запланированной задачи (Microsoft)

Как защититься от атак Tarrask

«Скрытые» задачи можно найти только при тщательном ручном просмотре реестра Windows, если вы ищете запланированные задачи без значения SD (дескриптора безопасности) в их ключе задачи.

Администраторы также могут включить журналы Security.evtx и Microsoft-Windows-TaskScheduler/Operational.evtx для проверки ключевых событий, связанных с задачами, «скрытыми» с помощью вредоносного ПО Tarrask.

Microsoft также рекомендует включить ведение журнала для TaskOperational в журнале Microsoft-Windows-TaskScheduler/Operational Task Scheduler и отслеживать исходящие подключения от критически важных ресурсов уровня 0 и уровня 1.

«Субъекты угрозы в этой кампании использовали скрытые запланированные задачи для поддержания доступа к критически важным активам, открытым для Интернета, регулярно восстанавливая исходящие соединения с инфраструктурой C&C», — добавили в DART.

«Мы понимаем, что запланированные задачи являются эффективным инструментом для злоумышленников, позволяющим автоматизировать определенные задачи, обеспечивая при этом постоянство, что приводит нас к повышению осведомленности об этой часто упускаемой из виду технике».

.

Добавить комментарий

Ваш адрес email не будет опубликован.